【发布时间】:2022-11-17 09:53:52
【问题描述】:
就想问问fluentbit发送日志到splunk有没有字符数限制?如何通过 Splunk Web UI 增加字符限制?
【问题讨论】:
标签: splunk fluent-bit
【发布时间】:2022-11-17 09:53:52
【问题描述】:
这取决于将数据发送到 Splunk 的方式。如果它通过 HEC 传入,则限制为 100 万字节(不是字符)并且无法更改。如果数据通过端口 9997 传入,则它没有相同的限制,但将被截断为 10,000 字节。可以通过 props.conf 中的 TRUNCATE 属性或在 Settings->Source types 中为 sourcetype 设置截断。
【讨论】:
-
感谢你的分享。我实际上尝试使用 HEC 配置 splunk,并使用 fluentbit 捕获 kubernetes pod 中的日志。但我意识到跟踪消息无法完全加载到 splunk 中,它被截断了。
-
我试图编辑 C:Program FilesSplunketcsystemdefaultprops.config TRUNCATE 字段以增加 [default] 下的值,但是,它仍然没有用。
-
切勿更改默认配置文件中的设置。只应对
local目录中的配置文件进行更改。请参阅 C:Program FilesSplunketcsystemdefaultprops.config 顶部的注释。您要索引的事件有多大?你将TRUNCATE设置为什么? -
我用notepad++算了一下文字,大概13k左右。我已经增加到 25k 左右,它仍然被截断。
-
13k 是 HEC 和传统入职培训都可以轻松处理的数字。似乎某处配置有错误。验证 props.conf 设置是否正确,安装在第一个看到数据的重型转发器或索引器上,并且输入设置中的源类型与 props 中的匹配。
在“C:Program FilesSplunketcsystemlocal”中创建一个名为 props.conf 的新文件
在 props.conf local 中进行 truncate 设置
[host::small_events]
TRUNCATE = 256
欲了解更多信息:
https://docs.splunk.com/Documentation/Splunk/8.0.5/Admin/Propsconf
【讨论】: